マスターカードは、暗証番号入力のより便利な代替手段として、指紋センサーを搭載したカードをテストしていると報じられています。しかし、Apple Payとは異なり、このカードにはいくつかの重要なセキュリティ機能が欠けています。
Engadgetの Cherlynn Low 氏のレポートによると、新しい生体認証カードは現在南アフリカでテストされており、MasterCard は 2017 年末までに世界中で展開したいと考えているとのことです。
ロー氏は、「携帯電話、ドア、金庫のロック解除の主な手段として、指紋が暗証番号やパスワードに急速に取って代わりつつある」と主張し、「指紋は便利で、独自性があり、簡単に推測されたり偽造されたりするパスワードや署名よりも究極的に安全です。ですから、指紋センサーがクレジットカードやデビットカードの保護に使われるのは当然のことです」と述べた。
しかし、指紋センサーはすべて同じではありません。ロー氏は、マスターカードの導入には「登録センター」への出向きが必要で、そこでユーザーは1つまたは2つの異なる指紋(自分の指紋)をカードに保存できると説明しました。
「カードのEMVチップには、暗号化された指紋のデジタルテンプレートが保存されています」とロー氏は指摘する。新しいカードは、ICチップとPINに対応した端末にカードを挿入(スワイプではなく)した後、ユーザーが一致する指紋を提示することで認証される。また、カードセンサーは、カードを取り込むATMでは機能しない。
Apple Payとは違う
センサー付きクレジットカードとApple Payの最も明白な違いは、Apple Payが「チップ&ピン」カードに比べて優れている点です。何も挿入する必要がないのです。特に米国では、カードを挿入して取引が完了するまでの長い時間を要するのに対し、Apple Payではほぼ瞬時に取引が完了します。
Apple Payはまず高速だが、さらに重要なのは安全だ
しかし、Mastercardの報告された実装は、iPhone、iPad、そして新型MacBook ProのTouch IDやApple Payと比べて、セキュリティポリシーが根本的に異なります。Appleの実装では、指紋はデバイスに一切保存されません。
代わりに、ユーザーの指紋を検証できる代表的な情報が、アプリケーションプロセッサ内のセキュアエンクレーブに一方向にコピーされます。ユーザーがTouch IDセンサーに触れると、指紋データがセキュアエンクレーブに送信され、照合されて一致が判断されます。一致した場合、別のコンピュータシステムとしてトランザクションが承認されます。
偽の指紋を何度も入力すると、Apple PayとTouch ID認証が無効になり、ユーザーはパスコードを使って手動でデバイスのロックを解除する必要があります。48時間以内にTouch IDが使用されない場合、認証もリセットされ、再度パスコードの入力が必要になります。
さらに、デバイスの電源が切れた場合、パスコードを使用してデバイスのロックを解除するまで認証システムも停止されます。これらの予防措置はすべて、盗難されたデバイスでユーザーが繰り返し不正な操作を試みることを防ぐために講じられています。
指紋センサーはすべて同じではない
iPhoneとは異なり、カードに埋め込まれたMastercard EMVチップは常に電源がオフになっています。カード自体にはバッテリーが内蔵されておらず、カードリーダーに挿入された場合にのみ電源が入り、取引中に電力が供給されます。
これは明らかに、電源が切れても印刷データが無効にならないことを意味します(使用されていない間は常に失われているため)。つまり、紛失したカードは、紛失から発見され盗難届が出されるまでのどの時点でも、偽造印刷による攻撃を受ける可能性があります。このデータはリセットされません。
さらに、チップがどのようにデータを保存するのかは明確ではありません。GoogleのAndroidやMicrosoft Windowsを搭載したデバイスに搭載されている指紋リーダーは、サムスン、HTC、東芝、レノボといった、一見ハイテクに精通した大手ハードウェアメーカーによって製造されていますが、AppleがTouch IDやApple Payのために作成したセキュリティポリシーと同じものには準拠していません。
ただ皮肉を言えばいいのに、事実なんて必要ありません。
Androidの指紋センサーはセキュリティ上の問題を抱えている
当初、指紋センサーを搭載した Android スマートフォン (HTC One Max や Samsung Galaxy S5 など) は、攻撃者がデバイスのストレージから指紋データを抽出できるような方法で指紋データを無責任に保存していました。
サムスンギャラクシーS5は「iPhoneと同じ」指紋センサーを搭載していると主張しているが、速度が遅く、ユーザーの指紋やデータを保護できないという。
セキュリティ企業ElcomSoftは、HTCが指紋を「圧縮も暗号化も保護もされていないビットマップファイル(/data/dbgraw.bmp)に保存していた」と指摘した。「開発者は、このファイルに0666(誰でも読み取り可能)以外の権限を割り当てていなかったため、ルート権限がなくても、あらゆるプロセスで簡単に指紋を読み取り、抽出できた」という。
Android 6では、GoogleはTouch IDに代わる「Nexus Imprint」を導入し、指紋認証ポリシーに関する最低限の基準を実装し始めました。しかし、Googleは独自の基準に従っているように見える一方で、ElcomSoftのセキュリティ専門家は、Androidの他の指紋認証セキュリティは「大きく一貫性がない」と述べています。
問題の中には、Android ハードウェア メーカーが、再起動後に指紋認証を有効にする携帯電話を製造できること、Apple の Touch ID のように 48 時間の有効期限が義務付けられていないことなどがある。
Android 6以降の最新デバイスでは、指紋情報の保存にTrusted Execution Environment(TES)の使用が義務付けられていますが、OSカーネルに侵入できる攻撃者はデバイスのロックを解除し、端末全体を復号化できます。これはiOSでは不可能です。
Touch IDセンサーを不正なセンサーに置き換えると、iOSデバイスはTouch IDやApple Payを使用できなくなります。しかし、Androidでは不正なセンサーが取り付けられる可能性があるため、これは当てはまりません。
さらに、Androidインストールベースのうち、ハードウェアメーカーがより安全な指紋認証システムを開発できるよう設計された比較的新しいAndroidバージョン(6.0以降)を使用しているのは、現在わずか36%に過ぎません。また、Googleのフルディスク暗号化の実装は非常に遅く(そして質も低い)、通常は無効にされており、指紋センサーのセキュリティは完全に無意味になっています。
Windows PCも同様に役立たない指紋センサーを捨て去った
Appleが2013年から強力なセキュリティポリシーに支えられ、iPhoneでTouch IDを普及させる数年前、Acer、Amoi、ASUS、Clevo、Compal、Dell、Gateway、IBM/Lenovo、Itronix、MPC、MSI、NEC、Sager、Samsung、Sony、Toshibaといった一連のPCメーカーが、強力な代替セキュリティを提供すると謳ったUPEK指紋センサーを搭載したWindowsラップトップを発売した。
Windows PCノートの指紋センサーは安全ではなかった
しかし、セキュリティ研究者のオルガ・コクシャロワ氏は、このセンサーは「Windows アカウントのパスワードをレジストリに『ほとんどプレーンテキストで、ほとんどスクランブルされていないが暗号化されていない』状態で保存する」ため、「Windows アカウントのセキュリティ モデル全体を危険にさらし(事実上破壊し)てしまう、大きなセキュリティ ホールになるだけだ」と報告している。
非常に遅くて扱いにくいEMVチップ&ピンカードの開発者たちが、サムスンやレノボのような企業よりもセキュリティに気を配っていることを願うばかりだ。いずれにせよ、クレジットカードは自己発電型のスマートフォンではないため、AppleがTouch IDやApple Payのために開発したのと同じセキュリティポリシーを、彼らが実装することは不可能だ。
